1198
ediciones
Sin resumen de edición |
Sin resumen de edición |
||
Línea 7: | Línea 7: | ||
# '''Operaciones a Nivel Mundial:''' Lazarus no se ha limitado a actividades dentro de Corea del Norte, sino que ha llevado a cabo operaciones a nivel mundial. Han apuntado a instituciones en varios países, lo que ha llevado a la comunidad internacional a prestar atención a sus actividades. | # '''Operaciones a Nivel Mundial:''' Lazarus no se ha limitado a actividades dentro de Corea del Norte, sino que ha llevado a cabo operaciones a nivel mundial. Han apuntado a instituciones en varios países, lo que ha llevado a la comunidad internacional a prestar atención a sus actividades. | ||
# '''Campañas de Desinformación:''' Además de sus actividades cibernéticas, Lazarus también se ha visto involucrado en campañas de desinformación. Han utilizado tácticas para difundir propaganda y manipular la percepción pública. | # '''Campañas de Desinformación:''' Además de sus actividades cibernéticas, Lazarus también se ha visto involucrado en campañas de desinformación. Han utilizado tácticas para difundir propaganda y manipular la percepción pública. | ||
== '''Etapas del Ultimo evidenciamiento''' == | |||
Según la información que se ha recopilado, se pueden identificar las siguientes etapas en el último evidenciamiento del Grupo Lazarus: | |||
# '''Identificación de la Vulnerabilidad:''' | |||
#* Lazarus identifica una vulnerabilidad crítica en el Kernel de Windows, específicamente la CVE-2024-21338, que permite la escalada de privilegios y la obtención de acceso a nivel de kernel. | |||
# '''Desarrollo del Exploit:''' | |||
#* Se desarrolla un exploit para aprovechar la vulnerabilidad identificada, utilizando el controlador appid.sys como vector de ataque. Este exploit permite la ejecución de código arbitrario y la obtención de privilegios a nivel de sistema. | |||
# '''Implementación del Rootkit FudModule:''' | |||
#* Lazarus implementa su rootkit FudModule en los sistemas comprometidos. Este rootkit, diseñado para operar de manera discreta y bajo demanda, realiza manipulaciones directas de objetos en el kernel y está específicamente diseñado para eludir la detección y desactivar medidas de seguridad. | |||
# '''Explotación de un Controlador Vulnerable (appid.sys):''' | |||
#* Lazarus aprovecha una vulnerabilidad de día cero en el controlador appid.sys, crítico para el funcionamiento de AppLocker, un componente de Windows responsable del control de aplicaciones. Esta táctica va más allá de un ataque Bring Your Own Vulnerable Driver (BYOVD), ya que explota una vulnerabilidad en un controlador ya instalado en la máquina de destino. | |||
# '''Desactivación de Soluciones de Seguridad:''' | |||
#* FudModule está diseñado para desactivar selectivamente soluciones de seguridad específicas, como AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro y Microsoft Defender Antivirus. Además, se toman medidas para eludir la detección desactivando los registradores del sistema. | |||
# '''Uso de Técnicas de Evitación y Sigilo:''' | |||
#* Lazarus demuestra un alto nivel de sofisticación técnica al utilizar técnicas avanzadas para evitar la detección, como la desactivación de registradores del sistema y la integración cuidadosa de FudModule en su ecosistema de malware. | |||
# '''Enfoque Multiplataforma:''' | |||
#* Se destaca el enfoque multiplataforma del Grupo Lazarus al utilizar enlaces de invitación a reuniones de calendario falsos para instalar sigilosamente malware en sistemas Apple macOS. | |||
# '''Iteración Continua y Mejora del Arsenal:''' | |||
#* El desarrollo y uso de FudModule representa un ejemplo de la continua iteración y mejora del arsenal del Grupo Lazarus, indicando su capacidad para evolucionar y mejorar sus tácticas con el tiempo. | |||
Estas etapas reflejan la complejidad y la sofisticación de las operaciones del Grupo Lazarus en su último evidenciamiento, destacando la importancia de adoptar medidas de seguridad sólidas para mitigar sus amenazas. | |||
== '''Rastreo e Historia''' == | == '''Rastreo e Historia''' == | ||
Línea 19: | Línea 41: | ||
* Implementación de Medidas Anti-Rootkit | * Implementación de Medidas Anti-Rootkit | ||
[[Categoría:Ciberdelincuentes|Ciberdelincuentes]] | [[index.php?title=Categoría:Ciberdelincuentes|Ciberdelincuentes]] |
ediciones